诊断和破解MD5攻击只需简单两步

日期:2009-1-8作者:范臻来源:IT168

MD5   Web   网站   安全证书   PKI   攻击   破解   废除   MD5证书   

  最近,来自Rapid7 的一组国际安全研究员演示了如何成功攻击网络公钥架构(Public Key Infrastructure,PKI)。PKI是利用MD5 Hash函数产生的签名对Web网站安全证书进行认证的一种基础架构。

  值得庆幸的是,该漏洞很容易被诊断出来,破解这种攻击也并不困难:

  这是什么样的攻击?

  HTTPS网站会对访问者的浏览器发送安全证书,以通过身份验证来保证安全链接。安全证书中包含了该网站的主机名称和它的公共密钥,并由认证机构CA签署并加密该安全证书。浏览器则通过自己信任的CA列表对访问网站进行安全验证,检查该CA是否值得信任,从而避免受到钓鱼攻击。

  而在这次特定的袭击中,研究员成功地建立了一个有效的中间CA证书(经过权威CA认证)。然后,他们利用它来生成任意有效的Web站点证书,使它们能够模仿HTTPS网站、监测甚至篡改这些网站。这种攻击可能会影响到使用基于MD5机制所产生的X.509证书的应用软件。黑客们正在准备通过碰撞攻击法(collision attack)来攻击MD5运算法则,然后产生假冒的认证授权中心(Certificate Authority )。

  这次攻击简要概况如下:

  1、攻击者利用MD5中的漏洞创建假冒CA。

  2、攻击者可为某个Web站点创建有效HTTPS证书。

  3、攻击者利用安全证书获得大部分浏览器的信任。

  4、攻击者可以肆意执行基于浏览器攻击并获取终端用户敏感数据。

  就实际情况而言,这意味着谁掌控了假冒CA谁就可以发动中间人式的攻击,并且获得用户的银行帐号信息。其他的攻击还包括篡改发送到安全站点的数据信息以及钓鱼攻击。

  破解攻击步骤:

  在这种情况下,最好的解决办法就是废除所有的MD5证书。简要步骤概述如下:

  保护Web应用程序:

  1、查明任何证书或者使用MD5的证书。特别是要仔细核对TLS/SSL 服务器或者客户端证书,使用Rapid NeXpose 可以扫描该漏洞。

  2、采用SHA-1或者SHA-2而不是MD5验证安全证书。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

密码管理>更多

  • 数据泄露后:是否应强制执行密码重置?

    据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?

  • 1024位密钥加密已不再安全

    因为“陷阱”素数(‘trapdoored' primes)的出现,使用1024位密钥加密算法已不再安全。在本文中,专家Michael Cobb解释了加密后门的工作机制。

  • 密码终结者:FIDO身份验证标准来袭

    很多在线服务无法保护用户密码免受攻击者的攻击威胁,同时,密码作为身份验证方式存在固有弱点,这正迫使政府和IT行业构建可行的长期的替代方案……

  • 交友网站泄露事件过后:关于密码安全的大讨论

    在Friend Finder Network的4亿用户账户泄露事件后,专家开始对密码安全的方方面面进行大讨论……

相关推荐

  • SafeNet和Internet2联手保护各大学数字身份

    SafeNet公司和Internet2®日前宣布,他们签署了一份协议,提供SafeNet智能卡和PKI硬令牌,用于PKI身份信息的数据保护存储。

  • 视频讲座:如何防止关键数据泄露

    任何事情的发生都可能导致数据的泄漏,例如有针对性的攻击,丢失的移动终端,或者是错误配置的网络安全设备。

  • 谈谈HASH算法与CSDN密码泄漏事件

    CSDN密码泄漏事件中,网友评论密码的明文保存和MD5保存问题。目前,很多站点都用MD5算法保存密码,但对于HASH(哈希)算法的认识还存在很多误区,有必要重新认识。

  • PacketShaper更新其可视性和管理

    Blue Coat系统公司日前发布其最新的软件插件,以更新其已经连接到云的PacketShaper设备,提高该设备发现、监控评估和控制来自中国和亚洲最新流行应用流量的能力。

技术手册>更多

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • BYOD安全指南

    随着越来越多的移动设备涌入企业,BYOD已经不再是一个趋势,而是无可置疑的事实。但是,BYOD在给我们带来便捷的同时,也常常会导致安全问题。这个安全需要考虑很多因素。

  • PDF安全使用策略指导手册

    PDF是企业常用的文件形式,但是随着企业对它的依赖性增长,PDF文件也越来越受到攻击者的关注。目前的PDF攻击采用壳代码(shellcode),它使恶意软件很难被发现和移除。然而企业需要用PDF文件来传输信息,尤其是敏感信息,所以企业应该重新评估其PDF安全策略,重视PDF的安全性。本迷你电子书将提供保护PDF文件安全的最佳实践,并且对何时使用PDF文件提出建议。

  • 移动安全:从MDM到EMM

    移动设备大量涌入企业催生了一整套全新的技术来解决安全性和合规性的问题。移动设备管理(MDM)最先出现,一度是解决移动安全较好的选择。然而新的安全威胁不断升级,随之出现了更强大和全面的管理方法,其中标志性方法就是企业移动管理(EMM)。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算